Wir konnten heute das Ansible Template für fastd fertigstellen und testweise auf sn-sense-2 applizieren.
Das Template ist ansible-ffms comitted und bewusst noch nicht in der supernodes.yml eingetragen, damit nicht versehentlich die Keys auf den bestehenden Servern überschrieben werden.
@vax: Hier wäre eine Einbindung deiner multi-fastd Konfiguration sinnvoll.
Wir haben heute Abend angefangen, wie letzten Mittwoch besprochen, die erste VM für die neue Domäne zu basteln, die dann an das Backbone angeschlossen werden soll.
Dazu hat @descilla Ansible-Vorlagen für die beiden DHCP-Server angelegt
@Parad0x und ich haben die fastd-Rolle so erweitert, dass das Repo und der benötigte Schlüssel zur Signierung automatisch auf dem Zielsystem installiert wird. Da dies eine marginale Änderung ist, haben wir es direkt ins ansible-ffms:master geschoben.
Zur Erklärung: Wir haben uns kurz überlegt, ob es dazu eine separate Rolle geben soll, uns dann aber dafür entschieden, dass jede Rolle ihre eigenen Abhängigkeiten auflösen muss. Denn sonst hat man auch auf Servern, die kein fastd bräuchten, nacher das Repo hinterlegt. Das kann bei apt-get theoretisch zu Abhängigkeitsproblemen führen und ist auch unsauberer.
Entwicklungszweig in ansible-ffms angelegt, wo wir kleine Änderungen sammeln, die dann zusammen zusammengefügt werden können.
Der virt-Host, welcher die fanlin-Maschinen beheimatet, wurde auf 10 MBit/s kastriert!
Sehr geehrter Herr Faryn,
wir haben einen von Ihrem Server ausgehende DOS Angriff (http://de.wikipedia.org/wiki/Ddos) festgestellt.
Diese Angriff stellt ein Verstoß gegen §3.8 unserer Allgemeinen Geschäftsbedingungen ( http://agb.myloc.de/ ) dar.
Diese Bedingungen hatten Sie bei der Bestellung des Server akzeptiert.
Bitte beachten Sie das Sie Administrator des Servers und somit für die
Sicherheit und die Einhaltung der Allgemeinen Geschäftsbedingungen
verantwortlich sind.
Bitte nehmen sie Stellung dazu.
Hallo!
UDP-Port 14242 wird von mir für fastd-VPN-Tunnel genutzt. Die
Verbindungen werden von den Clients auf Port 14242 UDP initiiert und
entsprechend auf einem anderen Zielport beantwortet. Das System arbeitet
wie gewollt und konfiguriert.
Die Vermutung einer ausgehenden DOS-Attacke und damit ein Verstoß gegen §3.8 der AGB ist ergo gegenstandslos.
Ein Speedtest in verschiedene Rechenzentren ergab allerdings keine
wirklich befriedigenden Ergebnisse. Insbesondere der Upload scheint noch
stark gedrosselt zu sein.
Hier mal ein Auszug:
Testing from myLoc managed IT AG (93.186.196.76)…
Hosted by HillCom Solutions (Alsfeld) [33.58 km]: 22.663 ms
Testing download speed…
Download: 202.19 Mbit/s
Testing upload speed…
Upload: 2.29 Mbit/s
[…]
Bitte überprüfen sie nocheinmal die Konfiguration ihrerseits.
Mehr in Kürze.
Nach einigen zusätzlichen iperf-Messungen bekam ich folgende Nachricht:
Hallo Herr Faryn,
ich werde das Ticket an unser Netzwerk Team weiterleiten, bitte haben Sie etwas Geduld.
Mein Root hat wieder IPv6 (siehe https://forum.freifunk-muensterland.de/t/ipv6-traffic-faellt-lokal-raus-sn-descilla-1/128/ ). Vermutlich lag das Problem an der gesetzten forwarding.conf. Zur Sicherheit habe ich jedoch die iptables Regeln auf meinem Root angepasst, sodass keine v6 Pakete mit einer v6 Source Addresse aus dem FFMS Addressbereich mehr rausgehen können. Außerdem läuft ein TCPdump auf genau diese Filterung, ist bis jetzt aber noch nichts aufgeschlagen.
Optional: SSL-Zertifikat ausstellen und installieren (Siehe Wiki-Eintrag) Bis dahin nur über das Webinterface einloggen, wenn Zertifikat 5f279f6c9a3f876e806201e77f283f1e9609451c genutzt wird
Neue VM ins ansible schreiben (domaene-01 / greyworm-01 / 89.163.247.45 )